Default
Door Remote - 29 May 2026
De wereldwijde haast om autonome AI-agenten in te zetten op het internet, bedrijfsnetwerken en consumentenapplicaties creëert een catastrofale veiligheidsschuld, aldus het hoofd van blockchain-beveiligingsauditor Certik.
Hoewel bedrijven deze hulpmiddelen ambitieus op de markt brengen als productiviteitswonderen, is de ruwe realiteit dat het zeer riskant kan zijn om dit te doen. Niet-geïsoleerde, niet-doorgelichte AI-agenten zijn een enorme veiligheidsramp die staat te gebeuren, vertelde Ronghui Gu, de mede-oprichter en CEO van CertiK, aan CoinDesk.
Gu waarschuwde dat gebruikers mogelijk hun meest gevoelige bestanden, lokale inloggegevens en geldrekeningen blootstellen aan autonome systemen die gemakkelijk kunnen worden gemanipuleerd, gekaapt en openlijk opgelicht.
"Op dit moment beantwoorden agenten niet langer alleen maar vragen in een chatvenster", vertelde Gu aan CoinDesk naar aanleiding van CertiK's baanbrekende diepgaande rapport over de wijdverbreide agentinfrastructuur. "Ze beginnen externe tools aan te roepen, lokale bestanden te lezen, workflows te activeren en te communiceren met de financiële infrastructuur. Maar als je de uitvoeringsomgeving niet isoleert en deze tools niet eerst scant, geef je een gecompromitteerde identiteit brede interne toegang tot je hele netwerk."
De fundamentele fout in de huidige hausse aan AI-agenten is volgens Gu een verkeerd vertrouwensmodel.
Charles Hoskinson, oprichter en CEO van Cardano’s Input Output, zei dat ze in 2035 relevanter zullen worden dan mensen op internet. Brian Armstrong, CEO van Coinbase, zei onlangs "zeer binnenkort zullen er meer AI-agenten zijn dan mensen die transacties uitvoeren" en Binance-oprichter Changpeng Zhao voorspelde dat ze "een miljoen keer meer betalingen zullen doen dan mensen."
Ultieme interne bedreiging Gu zei dat veel populaire, open-source AI-applicaties zijn gebouwd in de veronderstelling dat ze veilig zijn voor externe bedreigingen, omdat ze lokaal op de computer van een gebruiker draaien of verbinding maken via standaard chat-apps zoals WhatsApp.
De realiteit is volledig het tegenovergestelde, merkte hij op. Op het moment dat een gebruiker een AI-agent toestemming geeft om de lokale systeemopslag te lezen, de uitvoeringsgeschiedenis te bekijken of persoonlijke e-mail- en bedrijfsdatabasereferenties te beheren, wordt die agent de ultieme bedreiging van binnenuit.
CertiK’s recente analyse van vroege, snelgroeiende agentstructuren bracht een duizelingwekkende opeenstapeling van beveiligingskwetsbaarheden aan het licht, waaronder honderden kritieke beveiligingsadviezen, niet-gepatchte algemene kwetsbaarheden en blootstellingen (CVE’s) en andere enorme blootstellingen van lokale inloggegevens en sessiegeheugens als gevolg van volledig inconsistente grenscontroles.
Nog alarmerender is hoe gemakkelijk deze autonome systemen volledig kunnen worden omgeleid naar de redeneringslaag zonder dat er ooit een enkele regel kwaadaardige code wordt geschreven, benadrukt Gu.
Via eenvoudige 'prompt injection'-aanvallen kan een kwaadwillende verborgen instructies in natuurlijke taal insluiten in een goedaardige webpagina, een pdf-document of een binnenkomende e-mail, voegde hij eraan toe.
Wanneer de niet-geïsoleerde AI-agent dat bestand leest om een taak voor de gebruiker te verwerken, slaagt hij er niet in om vertrouwde systeemopdrachten te scheiden van de niet-vertrouwde externe gegevens, legt Gu uit. De agent overschrijft vervolgens stilletjes de oorspronkelijke regels, gehoorzaamt de kwaadaardige instructie en kan worden gedwongen gegevens te exfiltreren of ongeautoriseerde geldoverdrachten te activeren.
Hypersnelle exploitsGu onthulden dat CertiK honderden kwaadaardige vaardigheden, nep-installatieprogramma's en vergelijkbare afhankelijkheidspakketten ontdekte die rechtstreeks op open agent-hulpprogramma's stonden. Omdat deze kwaadaardige plug-ins standaard natuurlijke taal gebruiken om op subtiele wijze het gedrag van de agent te beïnvloeden en zijn doelen te veranderen, omzeilen ze volledig de verouderde, op handtekeningen gebaseerde antivirussoftware.
"De oplichtingsapps gebruiken natuurlijke taal om gedrag te beïnvloeden, waardoor ze volledig bestand zijn tegen traditionele antivirusscans", legt Gu uit. "En op dit moment is het zelfs gemakkelijker om de machine op te lichten dan om een mens op te lichten."
In wat Gu beschrijft als een bizarre evolutie van de financiële misdaad, heeft de telemetrie van CertiK een explosie van onchain waargenomen, geautomatiseerde oplichting die slechts 10 minuten of een paar uur duurt voordat deze volledig verdwijnt.
Deze supersnelle, kortstondige exploits zijn specifiek ontworpen door hackers om andere autonome AI-handelsbots en geautomatiseerde agentsystemen aan te vallen en op te lichten, waardoor machine-op-machine financiële drainage wordt uitgevoerd voordat enig mens zelfs maar beseft dat er een compromis heeft plaatsgevonden.
Gu stelt dat de software-engineeringindustrie haar afhankelijkheid van op vertrouwen gebaseerde interacties volledig moet opgeven en onmiddellijk moet overgaan naar een geïsoleerde 'Zero Trust'-architectuur waarin elke opdracht en afhankelijkheid voortdurend wordt geverifieerd.
Hoewel bedrijven deze hulpmiddelen ambitieus op de markt brengen als productiviteitswonderen, is de ruwe realiteit dat het zeer riskant kan zijn om dit te doen. Niet-geïsoleerde, niet-doorgelichte AI-agenten zijn een enorme veiligheidsramp die staat te gebeuren, vertelde Ronghui Gu, de mede-oprichter en CEO van CertiK, aan CoinDesk.
Gu waarschuwde dat gebruikers mogelijk hun meest gevoelige bestanden, lokale inloggegevens en geldrekeningen blootstellen aan autonome systemen die gemakkelijk kunnen worden gemanipuleerd, gekaapt en openlijk opgelicht.
"Op dit moment beantwoorden agenten niet langer alleen maar vragen in een chatvenster", vertelde Gu aan CoinDesk naar aanleiding van CertiK's baanbrekende diepgaande rapport over de wijdverbreide agentinfrastructuur. "Ze beginnen externe tools aan te roepen, lokale bestanden te lezen, workflows te activeren en te communiceren met de financiële infrastructuur. Maar als je de uitvoeringsomgeving niet isoleert en deze tools niet eerst scant, geef je een gecompromitteerde identiteit brede interne toegang tot je hele netwerk."
De fundamentele fout in de huidige hausse aan AI-agenten is volgens Gu een verkeerd vertrouwensmodel.
Charles Hoskinson, oprichter en CEO van Cardano’s Input Output, zei dat ze in 2035 relevanter zullen worden dan mensen op internet. Brian Armstrong, CEO van Coinbase, zei onlangs "zeer binnenkort zullen er meer AI-agenten zijn dan mensen die transacties uitvoeren" en Binance-oprichter Changpeng Zhao voorspelde dat ze "een miljoen keer meer betalingen zullen doen dan mensen."
Ultieme interne bedreiging Gu zei dat veel populaire, open-source AI-applicaties zijn gebouwd in de veronderstelling dat ze veilig zijn voor externe bedreigingen, omdat ze lokaal op de computer van een gebruiker draaien of verbinding maken via standaard chat-apps zoals WhatsApp.
De realiteit is volledig het tegenovergestelde, merkte hij op. Op het moment dat een gebruiker een AI-agent toestemming geeft om de lokale systeemopslag te lezen, de uitvoeringsgeschiedenis te bekijken of persoonlijke e-mail- en bedrijfsdatabasereferenties te beheren, wordt die agent de ultieme bedreiging van binnenuit.
CertiK’s recente analyse van vroege, snelgroeiende agentstructuren bracht een duizelingwekkende opeenstapeling van beveiligingskwetsbaarheden aan het licht, waaronder honderden kritieke beveiligingsadviezen, niet-gepatchte algemene kwetsbaarheden en blootstellingen (CVE’s) en andere enorme blootstellingen van lokale inloggegevens en sessiegeheugens als gevolg van volledig inconsistente grenscontroles.
Nog alarmerender is hoe gemakkelijk deze autonome systemen volledig kunnen worden omgeleid naar de redeneringslaag zonder dat er ooit een enkele regel kwaadaardige code wordt geschreven, benadrukt Gu.
Via eenvoudige 'prompt injection'-aanvallen kan een kwaadwillende verborgen instructies in natuurlijke taal insluiten in een goedaardige webpagina, een pdf-document of een binnenkomende e-mail, voegde hij eraan toe.
Wanneer de niet-geïsoleerde AI-agent dat bestand leest om een taak voor de gebruiker te verwerken, slaagt hij er niet in om vertrouwde systeemopdrachten te scheiden van de niet-vertrouwde externe gegevens, legt Gu uit. De agent overschrijft vervolgens stilletjes de oorspronkelijke regels, gehoorzaamt de kwaadaardige instructie en kan worden gedwongen gegevens te exfiltreren of ongeautoriseerde geldoverdrachten te activeren.
Hypersnelle exploitsGu onthulden dat CertiK honderden kwaadaardige vaardigheden, nep-installatieprogramma's en vergelijkbare afhankelijkheidspakketten ontdekte die rechtstreeks op open agent-hulpprogramma's stonden. Omdat deze kwaadaardige plug-ins standaard natuurlijke taal gebruiken om op subtiele wijze het gedrag van de agent te beïnvloeden en zijn doelen te veranderen, omzeilen ze volledig de verouderde, op handtekeningen gebaseerde antivirussoftware.
"De oplichtingsapps gebruiken natuurlijke taal om gedrag te beïnvloeden, waardoor ze volledig bestand zijn tegen traditionele antivirusscans", legt Gu uit. "En op dit moment is het zelfs gemakkelijker om de machine op te lichten dan om een mens op te lichten."
In wat Gu beschrijft als een bizarre evolutie van de financiële misdaad, heeft de telemetrie van CertiK een explosie van onchain waargenomen, geautomatiseerde oplichting die slechts 10 minuten of een paar uur duurt voordat deze volledig verdwijnt.
Deze supersnelle, kortstondige exploits zijn specifiek ontworpen door hackers om andere autonome AI-handelsbots en geautomatiseerde agentsystemen aan te vallen en op te lichten, waardoor machine-op-machine financiële drainage wordt uitgevoerd voordat enig mens zelfs maar beseft dat er een compromis heeft plaatsgevonden.
Gu stelt dat de software-engineeringindustrie haar afhankelijkheid van op vertrouwen gebaseerde interacties volledig moet opgeven en onmiddellijk moet overgaan naar een geïsoleerde 'Zero Trust'-architectuur waarin elke opdracht en afhankelijkheid voortdurend wordt geverifieerd.